Segunda versão do estudo prático de vulnerabilidades de base de dados, realizado por David Litchfield, mostra que os servidores estão desprotegidos e sem firewall.

Pensa que seus servidores de base de dados são seguros? Você pode querer avaliar melhor o assunto depois de descobrir que, de acordo com o pesquisador de segurança David Litchfield, existem meio milhão de servidores de base de dados expostos na internet, sem a proteção de um firewall.

Litchfield observou aleatoriamente a 1 milhão de endereços Internet Protocol (IP) genéricos, checando-os para ver se ele poderia acessá-los pelas portas IP para o Microsoft SQL Server ou a base de dados Oracle. Os resultados? Ele descobriu 157 servidores SQL e 53 servidores Oracle.

Depois, Litchfield contou com estimativas conhecidas de números de sistemas na internet para chegar a conclusão de que existem aproximadamente 368 mil bancos de dados SQL Servers e cerca de 124 mil base de dados da Oracle diretamente acessíveis na internet.

Esta não é a primeira vez que Litchfield, diretor-geral da NGSSoftware, tem conduzido esse tipo de pesquisa. Dois anos atrás, ele divulgou o primeiro estudo Database Exposure Survey, estimando que existiam aproximadamente 350 mil base de dados expostas.

A versão da pesquisa de 2007 deverá ser publicada no web site de Litchfield e as informações a que o IDG teve acesso são preliminares.

Com a ausência de firewall, a base de dados está exposta a hackers, colocando as corporações em risco. Litchfield diz ainda que, dado o número de incidentes dos últimos dois anos, é surpreendente que ainda exista esse tipo de falta de proteção em tantas empresas. Eu acho isso terrível, afirma em entrevista. Nós ficamos por aí como galinhas sem cabeça seguindo essas principais notícias sobre falhas de segurança em base de dados e as organizações estão aí, sem nem se preocupar com isso. Por que elas estão todas por aí sem a proteção de um firewall, questiona.

Comparando a primeira e a segunda versão do estudo, nota-se que o número de bases de dados Oracle desprotegidas caiu, enquanto o SQL vulnerável subiu. Entretanto, o pesquisador não vê uma explicação exata de o porquê disso.

Outra disparidade foi observada: muitas das bases desprotegidas são também não atualizadas. Na verdade, 4% das bases SQL Server foram encontradas com falhas que foram exploradas com alertas em 2003. Pessoas não estão se protegendo com firewalls e os níveis de falta de atualização é assombroso, diz.

Cerca de 82% dos SQL Servers estavam rodando software SQL Server 2000 e menos da metade deles têm produtos do último pacote de serviços instalado. No lado da Oracle, 13% dos servidores estavam rodando versões antigas da base de dados e não receberam atualizações. Este Oracle 9.0 e bases de dados mais antigas são conhecidas por ter vulnerabilidades de segurança.